Центр компетенций группы компаний «Гарда»

Как разработчик и поставщик решений для защиты данных и сетевой безопасности, мы заинтересованы в укреплении позиций и расширении своего присутствия на этом рынке. Продукты «Гарды» должны быть лучшими в своем классе. Чтобы претендовать на звание лидера, недостаточно просто создать и вывести на рынок пусть даже качественный продукт — без поддержки и развития он никому не нужен. Поэтому сам факт наличия такой специализированной структуры, как Центр компетенций, говорит о стремлении компании всесторонне продвигать и поддерживать свои решения на рынке.

Центр компетенций группы компаний «Гарда» занимается изучением киберугроз с 2018 года. Разработанные им средства выявления и противодействия не только оперативно внедряются во все продукты компании, но также доступны как отдельный сервис «Гарда Threat Intelligence». Команда Центра — это высококвалифицированные специалисты в сфере защиты данных, сетевой безопасности, безопасной разработки и анализа киберугроз со средним стажем работы по профилю более 13 лет. Работу Центра координируют:

Критерии определения нелегитимной активности, кейсы имитации действий злоумышленников, настройки, позволяющие исполнить требования законодательства, — эти и другие данные, необходимые для нормальной работы систем защиты данных «Гарда DLP» и «Гарда DBF», создаются и загружаются в них при непосредственном участии специалистов Центра. Также они обучают персонал заказчика работе с продуктами компании, адаптируют их под конкретные задачи бизнеса.

• Защита баз данных,
• расследование утечек информации с помощью DLP-системы,
• обработка в SIEM событий, полученных от нее,
• поиск угроз и методов их нейтрализации с использованием систем защиты данных.

Кроме того, с помощью систем «Гарда» эксперты Центра компетенций обеспечивают на стороне заказчика исполнение требований актуальных нормативно-правовых актов в сфере защиты информации.

Перенос настроек и правил детектирования событий безопасности из DAM/DBF-систем иностранного производства в «Гарду DBF» — услуга, которая в связи с импортозамещением пользуется активным спросом среди пользователей этого продукта. В большинстве случаев быстро и качественно решить эту задачу без привлечения экспертов не получится. Яркий пример — перенос регулярных выражений: разный синтаксис и особенности применения в различных DAM/DBF-системах не позволяют перенести их простым «copy-paste».

Настройка комплекса «Гарда DBF» в соответствии с требованиями ФСТЭК — это еще один востребованный вид работ. Как правило, требуется не только создать политики, но и просканировать базы данных, а также настроить ролевую модель доступа и оповещения для офицеров ИБ.

Также специалисты Центра описывают признаки событий ИБ, формируют словари критериев, на основании которых система распознает эти события.

Те, кто стремится эксплуатировать решения «Гарда» с максимальной отдачей, могут воспользоваться услугой «Экспертный сервис», в рамках которой сотрудники Центра оказывают информационную и техническую поддержку: консультируют, делятся передовым опытом, выполняют тонкую настройку систем.

К ним часто обращаются за помощью, когда предоставленные системой данные сложно интерпретировать. Например, пользователь не понимает, являются ли те или иные события признаками инцидента ИБ, особенно если система одновременно регистрирует множество различных событий. Также нередко у заказчика возникает срочная необходимость настроить работу систем должным образом в связи с новыми требованиями регулятора.

Иногда случается так, что из команды заказчика уходит ключевой специалист по продукту «Гарды», и требуется в сжатые сроки подготовить ему полноценную замену. Бывают ситуации, когда в компании просто нет лица, достаточно компетентного в вопросах эксплуатации решений «Гарда». В этом случае эксперт Центра выступает в роли инструктора, снабжая исполнителей работ на стороне заказчика всеми необходимыми рекомендациями.

• Консультации в формате Q&A.
• Диагностика, рекомендации по оптимизации работы комплекса в формате сеанса видеоконференцсвязи.
• Выезд на объект для настройки системы, очное обучение персонала заказчика.
• Подготовка отчетов и рекомендаций по зарегистрированным событиям ИБ: как предотвратить, усилить защиту и т.д.
• Удаленная настройка комплекса по защищенному каналу связи.

«Гарда NDR» — ключевой продукт компании в портфеле решений для защиты сети, поэтому ему уделяется самое пристальное внимание. Политики, сетевые фильтры, сигнатуры и методы машинного обучения — специалисты Центра компетенций непрерывно работают над созданием и улучшением средств выявления вредоносной активности на основе матрицы MITRE ATT&CK, комбинируют их, ищут наиболее эффективные и универсальные способы нейтрализации угроз, разрабатывают персонализированные решения для конкретных клиентов.

Занимаются они и вопросами интеграции решения с продуктами сторонних разработчиков. Так, например, в настоящий момент активно прорабатываются сценарии совместного использования «Гарды NDR» с SIEM-системами. Это перспективное направление, поскольку корреляция событий из разных источников с помощью SIEM заметно повышает точность распознавания угроз и цепочек атак. Интеграция с межсетевыми экранами, активным сетевым оборудованием и сторонними песочницами для автоматизации сценариев реагирования NDR и лучшей защиты от вредоносного ПО — планы на ближайшее будущее.

Также в зоне ответственности коллектива Центра компетенций находится документирование собственных разработок и опыта практического применения продуктов «Гарда», чтобы у пользователей этих систем всегда был доступ к самым передовым методикам работы с ними.

Сотрудники Центра анализируют зарегистрированные системой события ИБ, помогают правильно интерпретировать и ранжировать их по степени представляемой угрозы, предлагают соответствующие ситуации меры, например:

• заблокировать вредоносный трафик;
• отказаться от использования незащищенного протокола или сервиса;
• принять определенные административные и организационные решения;
• продолжить наблюдение для сбора дополнительных сведений.

Для выявления сложных, многовекторных цепочек атак, как правило, недостаточно одних технических средств защиты, нужно проанализировать целый ряд событий, найти взаимосвязь между ними, выдвинуть и проверить различные гипотезы. Иногда требуется визуальный контроль.

В ходе обучения эксперты Центра знакомят команду заказчика со всеми аспектами и нюансами системы «Гарда NDR». Задача обучения — сформировать практические навыки работы с продуктом, достаточные для самостоятельного решения повседневных задач.

Многие заказчики хотят получить в свое распоряжение инструмент, максимально приспособленный для решения специфических задач их бизнеса, быстро адаптирующийся под новые требования регуляторов, гибкий и удобный в эксплуатации. Для них сотрудники Центра разрабатывают специализированные средства выявления угроз и контроля трафика, всевозможные дашборды, виджеты, а также готовят отчеты.

Чем обширнее IT-инфраструктура, тем сложнее вести учет имеющихся IT-активов и следить за всеми происходящими в ней изменениями. Возникают слепые зоны и теневые IT. Используя возможности системы «Гарда NDR», в процессе ее ввода в эксплуатацию эксперты Центра компетенций фактически проводят внешний аудит и зачастую выявляют серьезные бреши в защитном периметре заказчика.

• Пара «логин/пароль» передается в открытом виде, порой даже за пределы корпоративной сети.
• Небезопасные, недостаточно защищенные протоколы аутентификации и средства шифрования, такие, как HTTP Basic Auth с использованием кодировки base64.
• Забытые физические и виртуальные машины — идеальные точки входа для злоумышленника: они не обновляются и находятся вне поля зрения службы ИБ.
• Забытые доступы к IT-активам для внешних подрядчиков нередко оказываются не такими уж забытыми: работа закончена, а доступ остался, и кто-то им пользуется, судя по периодическим сетевым транзакциям.
• Внутренние хосты задействованы в ботнетах. Обычно C&C сервера, к которым обращаются боты, управляют майнингом криптовалют.
• Обращения к BitTorrent и соцсетям.
• Факты сканирования внешнего периметра.
• Попытки подбора паролей по различным сетевым протоколам (HTTP, RDP, SSH, FTP и т.д.).
• Попытки эксплуатации уязвимостей, например, log4j.

На момент написания этой статьи топ-5 самых заметных находок и достижений 2024 года выглядит следующим образом:

• Вендинговый автомат с доступом в корпоративную сеть и выходом в интернет. В течение длительного времени он передавал данные по FTP в одну западную страну.
• Майнер криптовалют на корпоративном сервере. Выявили не только факт обращения к известному криптомайнинговому хосту, но и процесс hand-shake блокчейна.
• За счет комбинации различных средств обнаружения, в первую очередь, модуля поведенческого анализа, удалось выявить ранее неизвестный ботнет «нулевого дня».
• Зарегистрировали факт медленного сканирования сети. Запросы отправлялись с забытой виртуальной машины под управлением очень старой ОС. В отличие от быстрого сканирования, которое выполняется за 1-2 минуты и легко распознается многими средствами обнаружения, скорость медленного сканирования не превышает десятка хостов в час, поэтому и отличить его от нормального трафика очень сложно. Распознать вредоносную активность удалось с помощью модуля поведенческого анализа.
• Провели исследование С&C серверов Cobalt Strike и Brute Ratel, с помощью которых контролируются ботнеты, определили специфику сетевого взаимодействия агентов с управляющими серверами. На основе полученных данных создали политики выявления ботнетов, сочетающие в себе сигнатурный метод и поведенческие модели.

Нередко заказчик просто не располагает необходимым количеством штатных специалистов подходящей квалификации, чтобы эффективно эксплуатировать систему «Гарда NDR». Экспертная поддержка и аудит от вендора решают эту проблему.

За годы своей деятельности сотрудники Центра компетенций расследовали тысячи инцидентов ИБ. Накоплен колоссальный практический опыт, сформирована уникальная база знаний, разработаны эксклюзивные методики работы. Привлекая специалистов Центра, заказчик получает возможность воспользоваться всем этим для решения своих бизнес-задач без необходимости содержать штат дорогостоящих профильных специалистов столь высокого уровня.

• Оценка корректности работы системы по чек-листу.
• Оценка соответствия результатов работы фильтров, политик и решающих правил требованиям заказчика.
• Проверка настроенных политик и включённых решающих правил на ложноположительные срабатывания.
• Проверка настроенных кастомных дашбордов, виджетов и отчётов на соответствие требованиям заказчика.
• Настройка кастомных политик и решающих правил, не входящих в стандартный набор, в соответствии с требованиями заказчика.
• Обучение специалистов заказчика работе с системой.
• Консультация по зарегистрированными событиями ИБ, рекомендации по дальнейшим действиям.